Giftzwerg Geschrieben 27. August 2003 Geschrieben 27. August 2003 Hi! Die Suchfunktion hat mich leider nicht sehr weit gebracht. Ich hab mir nur gerade eben das Logfile von meinem Router mal wieder angesehen und dabei is mir was aufgefallen: Es sind fast im Minutentakt rund um die Uhr Anfragen von aussen auf den Ports 137, 4246 und 4662. Port 137 soll ja NetBios sein. Wenn das so ist, dann meine Frage: Was macht NetBios eigentlich genau im Internet, da die IP von der die Anfrage kommt, jedes mal wechselt! Und was machen die Ports 4246 und 4662? Da verhält es sich genauso wie bei Port 137. Ich kann mir auch nicht vorstellen, dass die IPs die an meinem Router anfragen bspw Microsoft - Server oder so sind, weil ich denke nicht, dass die einen IP - Pool zwischen knapp 60.x.x.x bis 220.x.x.x haben... Kann mir da irgendjemand weiterhelfen? edit: zu diesen Zeiten wo die anfragen kommen ist teilweise auch niemand ausm LAN gesurft, und die Anfragen waren trotzdem da. mit dem surfen und eventuellen Anfragen von www-Seiten hängt es also nicht zusammen Zitieren
nic_power Geschrieben 27. August 2003 Geschrieben 27. August 2003 Hallo, 4662 ist ein Filesharing Port. Falls der Router fuer ein groesseres Netz zustaendig ist, verwendet irgendjemand emule. Sollte es Dein SoHo-Router sein, so hast Du bei der Einwahl eine IP-Adresse erhalten, die zuvor von einem EMule-Nutzer verwendet wurde. Nic Zitieren
Giftzwerg Geschrieben 27. August 2003 Autor Geschrieben 27. August 2003 ja stimmt, an 4662 hätte ich denken können / sollen. aber emule benutzt hier keiner. und ich auch schon ewig nicht mehr. Es ist nur ein kleines Heimnetzwerk bestehend aus 4 Rechnern, die sich einen dsl - Anschluss teilen Zitieren
BrainWash Geschrieben 3. September 2003 Geschrieben 3. September 2003 Hat sich dein Problem eigentlich schon erledigt? Naja, wollte nur kurz sagen, dass nicht zwangsläufig emule (oder ähnliches) auf einem der Rechner laufen muss, damit du ne Anfrage auf port 4662 bekommst. Hier bei uns in der Firma haben wir auch tausende Anfrage auf dem port. Das kommt einfach daher, dass die IPs auf den emule Servern so lange gespeichert werden. Bekommst du jetzt bei deiner Einwahl die IP zugewiesen, die vorher einer hatte, der emule benutzt, dann kommen die Anfragen immernoch an der IP an, allerdings am falschen Rechner Zitieren
Giftzwerg Geschrieben 3. September 2003 Autor Geschrieben 3. September 2003 naja richtig erledigt kann man nicht sagen.... ich krieg halt am Tag ca. 7 mails von meinem Router, weil das Logfile voll ist. Mittlerweile wechseln sich die Ports aber etwas ab. Meistens is der 137er noch dabei, 4246 vereinzelt, dafür momentan stärker 4662..... Kann schon sein, dass die Anfragen unbeabsichtigt durch einen emule - Nutzer verursacht wurden... Aber ich hab mal nen Portscan machen lassen, die Ports sind alle definitiv dicht. Hier kommt also niemand so schnell rein. Ich behalte es trotzdem mal im Auge und sollte ich irgendwo auf einem Rechner doch noch einen Virus finden, dann muss ich mal was überlegen. weil sehr viel mehr als ne Hardwarefirewall, auf jedem PC ne Software - Firewall und ein Virenscanner kann man als Otto-Normal-Verbraucher eigentlich net tun. Höchstens nochn Proxy..... Aber den nehm ich eh um Weihnachten rum in Angriff, wenn ich mal wieder Zeit hab.. Zitieren
geloescht_JesterDay Geschrieben 4. September 2003 Geschrieben 4. September 2003 Port 137 ist NetBIOS Zur Namensauflösung in TCP/IP-Netzen verwendet Windows zusätzlich den NetBios Name Service (NBNS). Es gibt mit Sicherheit viele Windows Rechner, die NetBios an der Internet DFÜ-Verbindung hängen haben. Von denen kommen die Anfragen. Z.B. schickt Windows regelmäßi eine Anfrage ins Netzt um seine Arbeitsgruppen Nachbarn zu bestimmen. Diese Abfrage wird (wenn nicht abgefangen) ins Netz geleitet und kommt bei anderen Rechnern an, z.B. bei dir. Wenn es nur einmal in der Minute ist ist es doch nicht schlimm. Und wenn der Port zu ist sowieso nicht. Eine extrem gestiegene Aktivität auf einem Port kann auf einen Wurm oder Virus hinweissen (z.B. Aktivität auf Port 135 machte die Leute auf den Blaster aufmerksam), aber das braucht dich nicht zu kümmern. Das 4662 oft dabei ist heisst einfach nur, dass du eine IP bekommen hast, die gerade einer hatte, der E-Donkey oder Ableger laufen hatte und wohl begehrte Dateien anbot. Wenn dir der Router immerwieder Mails schickt, stell die Logging-Funktion doch ab. Damit die was bringt müsstest du wirklich regelmäßig die Logs studieren, aber daheim ist sowas IMHO überhaupt nicht nötig. Wenn die Ports dicht sind und nur die die gebraucht werden offen, tut sich da sowieso nix. Und wenn du siehst, dass auf einem geblockten Port 1000de Anfragen kamen? Was bringt es dir? Zitieren
Giftzwerg Geschrieben 4. September 2003 Autor Geschrieben 4. September 2003 die mailfunktion von den logfiles hab ich mittlerweile auch schon wieder ausgeschaltet. Wollte nur mal über nen gewissen Zeitraum wissen, was bei mir zum Thema Internettraffic los ist. Die Erklärung zum Thema NetBios hat viel Licht ins Dunkel gebracht, thx! Das Windows im Internet nach Arbeitsgruppen versucht zu suchen, wusste ich auch noch net... thx für die Hilfe jedenfalls. P.S. nen Wurm hab ich sicher net - ich denke mal dass man da bei 3 voneinander unabhängigen Virenscannern auf jedem Rechner ziemlich sicher sein kann Zitieren
geloescht_JesterDay Geschrieben 8. September 2003 Geschrieben 8. September 2003 Original geschrieben von Giftzwerg Die Erklärung zum Thema NetBios hat viel Licht ins Dunkel gebracht, thx! Das Windows im Internet nach Arbeitsgruppen versucht zu suchen, wusste ich auch noch net... Also so direkt im Internet sucht es danach nciht, aber es wird u.U. eben ins Internet geleitet. Ich war auf der Suche nach der Stelle, wo ich das damals gelesen habe, finde es aber nicht mehr. Das hatte mit Fli4L zu tun und den Einstellungen der Domain bzw. des DNS. Find blos die Erklärung die ich da gelesen habe nicht mehr... was ich jetzt gerade gefunden habe ist Mit der Konstruktion von fli4l als DNS-Server werden viele von den Windows-PCs ausgeführten Anfragen nicht ins Internet weitergeroutet, sondern werden direkt vom fli4l-Router beantwortet. Hab daheim noch eine alte Version der Doku gedruckt. Kann sein, dass das inzw. geändert wurde... Oder es war auf einer verlinkten seite oder so. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.